von Martin Brinkmann am 15. August 2021 in Sicherheit – Keine Kommentare
In letzter Zeit wurden mehrere Sicherheitslücken im Zusammenhang mit dem Windows-Druck entdeckt, aufgedeckt und behoben. Microsoft hat im Juli ein Notfall-Update veröffentlicht, um eine Schwachstelle namens PrintNightmare zu beheben.
Diese Woche hat Microsoft eine weitere Schwachstelle im Zusammenhang mit dem Drucken in Windows bekannt gegeben. Das CVE gibt zu diesem Zeitpunkt nur wenige Informationen preis, da die Untersuchung von Microsoft noch andauert.
Laut den bereitgestellten Informationen handelt es sich um eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, die den Windows-Druckspooler betrifft.
Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn der Windows-Druckspoolerdienst privilegierte Dateivorgänge nicht ordnungsgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder neue Konten mit vollen Benutzerrechten erstellen.
Microsoft listet die betroffenen Versionen und Editionen des Windows-Betriebssystems des Unternehmens nicht auf, da die Forschung noch andauert. Alle Windows-Versionen waren von PrintNightmare betroffen, und es ist möglich, dass die neue 0-Day-Sicherheitslücke auch alle Versionen betrifft.
Microsoft stellt fest, dass an einem Sicherheitspatch gearbeitet wird, der nach der Erstellung wahrscheinlich als Out-of-Band-Patch veröffentlicht wird.
Abhilfe: Deaktivieren Sie den Druckspooler
Microsofts Workaround zum Schutz von Systemen vor Angriffen, die auf die neue Druckspooler-Schwachstelle abzielen, besteht darin, den Druckspooler zu deaktivieren. Der Nachteil beim Deaktivieren des Druckspoolers besteht darin, dass das Drucken nicht mehr verfügbar ist.
Eine der Problemumgehungen für die PrintNightmare-Sicherheitslücke bestand darin, auch den Druckspooler zu stoppen.
Druckspooler über PowerShell deaktivieren
- Open Start.
- Geben Sie PowerShell ein.
- Wählen Sie Als Administrator ausführen.
- Führen Sie Get-Service -Name Spooler aus, um den Status des Druckspoolers abzurufen-
- Führen Sie Stop-Service -Name Spooler -Force aus, um Stoppen Sie den Druckspooler-Dienst.
- Führen Sie Set-Service -Name Spooler -StartupType Disabled aus, um den Starttyp des Dienstes auf “Deaktiviert” zu setzen, damit er beim Systemstart nicht aktiviert wird.
Druckspooler über Dienste deaktivieren
Sie können auch die Diensteverwaltungsschnittstelle verwenden, um den Druckspooler-Dienst zu stoppen und seinen Starttyp auf deaktiviert zu setzen.
- Start öffnen.
- Geben Sie services.msc ein
- Suchen Sie den Druckspooler-Dienst. Die Liste ist standardmäßig alphabetisch sortiert.
- Klicken Sie mit der rechten Maustaste auf Druckspooler und wählen Sie Stopp.
- Doppelklicken Sie auf Druckspooler.
- Starttyp festlegen deaktivieren.
- Wählen Sie Ok.
Auswirkung der Problemumgehung
Sie können nicht drucken mehr auf dem Gerät, wenn der Druckspooler-Dienst nicht ausgeführt wird. Sie können es bei Bedarf aktivieren, z. kurz bevor Sie einen neuen Druckauftrag am Gerät starten und danach wieder ausschalten.